CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-22956
Critical

OPSI w wersjach przed 4.3 pozwala dowolnemu klientowi na pobranie dowolnego ProductPropertyState, w tym tych należących do innych klientów. Może to prowadzić do eskalacji uprawnień, jeśli jakikolwiek ProductPropertyState zawiera tajemnicę, która powinna być dostępna tylko dla wybranej grupy klientów.

CVE-2025-8359
Critical

Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.9. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed jego uwierzytelnieniem.

CVE-2025-58628
Critical

W podatności CVE-2025-58628 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection. Problem dotyczy wersji Miraculous od n/a do poniżej 2.0.9.

CVE-2025-49401
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce smart SEO od axiomthemes umożliwia eskalację uprawnień. Problem dotyczy wersji smart SEO od n/a do 4.0 włącznie.

CVE-2025-58819
Critical

Podatność CVE-2025-58819 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Bulk Featured Image w CreedAlly, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.2.4 włącznie.

CVE-2025-55037
Critical

W wersjach TkEasyGUI przed v1.0.22 występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na 'OS Command Injection'. W przypadku wykorzystania tej podatności, zdalny, nieautoryzowany atakujący może wykonać dowolne polecenie systemowe, jeśli ustawienia są skonfigurowane do tworzenia wiadomości z zewnętrznych źródeł.

CVE-2025-58361
Critical

Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.

CVE-2025-57148
Critical

Portal zakupowy phpGuruKul w wersji 2.0 jest podatny na nieautoryzowane przesyłanie plików w pliku /admin/insert-product.php z powodu braku walidacji rozszerzeń.

CVE-2025-1740
Critical

Podatność CVE-2025-1740 w Akinsoft MyRezzta polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia obejście uwierzytelnienia, wykorzystanie odzyskiwania hasła oraz ataki typu brute force. Problem dotyczy wersji MyRezzta od s2.03.01 do przed v2.05.01.

CVE-2024-32444
Critical

W podatności CVE-2024-32444 występuje nieprawidłowe przypisanie uprawnień w motywie RealHomes od InspiryThemes, co umożliwia eskalację uprawnień. Problem dotyczy wersji RealHomes od n/a do 4.3.6 włącznie.

CVE-2025-5662
Critical

W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.

CVE-2022-38696
Critical

W BootRom występuje potencjalny brak sprawdzenia rozmiaru ładunku. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.

CVE-2022-38693
Critical

W FDL1 występuje potencjalny brak sprawdzenia rozmiaru ładunku, co może prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.

CVE-2022-38692
Critical

W BootROM brakuje sprawdzenia rozmiaru kluczy RSA podczas walidacji typu certyfikatu 0. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.

CVE-2025-6507
Critical

Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.

CVE-2025-54857
Critical

W SkyBridge BASIC MB-A130 w wersji 1.5.8 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonywać dowolne polecenia systemowe z uprawnieniami roota.

CVE-2025-31100
Critical

Podatność CVE-2025-31100 w systemie zarządzania szkołą Mojoomla pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 1.93.1.

CVE-2024-32832
Critical

W podatności CVE-2024-32832 występuje brak autoryzacji w funkcji logowania za pomocą numeru telefonu w aplikacji Login with phone number, co może prowadzić do nieautoryzowanego dostępu. Problem dotyczy wersji od n/a do 1.6.93 włącznie.

CVE-2024-46484
CriticalEPSS 61%

TRENDnet TV-IP410 camera firmware vA1.0R contains an OS command injection vulnerability in the /server/cgi-bin/testserv.cgi component.

CVE-2025-8861
Critical

TSA opracowane przez Changing ma lukę w autoryzacji, która pozwala nieautoryzowanym atakującym zdalnym na odczyt, modyfikację i usuwanie zawartości bazy danych.

PreviousPage 229 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS